C’è stata una moria di smartphone, almeno per quanto riguarda i meccanismi di sicurezza contro il codice non autorizzato, durante la competizione Mobile Pwn2Own organizzata nell’ambito della conferenza PacSec a Tokyo. I ricercatori di sicurezza hanno “bucato” le principali piattaforme per cellulari, da iOS ad Android passando per Fire OS (Amazon Fire Phone).
La competizione Mobile Pwn2Own è organizzata da Hewlett-Packard (nell’ambito della Zero Day Initiative) con la sponsorizzazione (quest’anno) di Google e BlackBerry, per una somma di 425mila dollari in totale offerta in taglie fino a 150mila dollari promessi a chi realizza gli hack più evoluti.
Durante il primo giorno della manifestazione sono quindi caduti iPhone 5S (iOS), compromesso grazie a un exploit indirizzato contro due bug in contemporanea, uno dei quali è riuscito a penetrare in pieno la sandbox per l’esecuzione di codice integrata nel browser Safari.
Le comunicazioni NFC (Near Field Communication) hanno poi rappresentato l’autentica “start” della hackfest, con altri due bachi che sono stati sfruttati per eseguire un exploit di “deserializzazione” e con un altro basato su un errore logico con un terminale Samsung Galaxy S5 (Android).
Un terzo bug nel sistema NFC (con pairing forzato tra due terminali tramite Bluetooth) ha portato alla compromissione di un terminale LG Nexus 5, mentre l’ultimo attacco è stato indirizzato contro tre bug differenti scovati nel browser Web del negletto Fire Phone di Amazon .
Volendo tirare le somme del primo giorno di Pwn2Own, quindi, due sono i messaggi veicolati dall’azione di hacking “white hat” dei ricercatori partecipanti alla competizione: nessuno, ma proprio nessuno è al sicuro, quando si tratta di software, e il prossimo futuro delle comunicazioni NFC offre più di un motivo di preoccupazione.
Alfonso Maruccia